Processus d’extraction et d’évaluation des anomalies de routage 126

Il nous est vite apparu qu’en raison du nombre important de réseaux surveillés, il était nécessaire de disposer d’un mécanisme pour les examiner de façon automa-tique. C’est pour cette raison que nous avons mis en place un procédé qui analyse les données brutes que nous collectons, en extrait des anomalies de routage, évalue ces dernières sur base d’un ensemble de critères que nous avons défini, et agrège les différents scores pour finalement mettre en avant les blocs d’adresses IP ayant vrai-semblablement été victimes d’un détournement BGP. Nous présentons ci-dessous les différents composants de ce procédé d’évaluation des anomalies de routage.

Extraction des anomalies traceroute et BGP

(I) Les anomalies BGP permettent de caractériser le comportement de routage d’un réseau surveillé du point de vue du plan de contrôle. Elles sont extraites des chemins

6.3. SpamTracer 127 d’AS BGP collectés chaque jour. (I.a) Uneanomalie de l’origine BGP correspond à une situation où un bloc d’adresses IP est annoncé dans BGP par plus d’un AS. Ce type d’anomalie est communément appelé « conflit d’ASs d’origine » (« Multiple Origin AS (MOAS) conflict »). (I.b) Une déviation de chemin d’ASs BGP mesure la différence entre des chemins d’ASs vers un réseau donné et collectés depuis un collecteur BGP donné.

(II) Les anomalies traceroute permettent d’évaluer l’impact qu’un changement de routage survenant dans le plan de contrôle (BGP) a dans le plan de données.

Elles sont extraites des chemins traceroute IP et AS. (II.a) Uneanomalie d’accessi-bilité au niveau IP (respectivement AS) survient lorsque l’IP (respectivement l’AS) de destination de traceroute devient (in)accessible, et ce de façon permanente. (II.b) Une anomalie de longueur de chemin quantifie un possible changement permanent dans la longueur des chemins traceroute pour un réseau donné. (II.c) Unedéviation de chemin traceroute IP (respectivement AS) mesure la différente entre les chemins traceroute IP (respectivement AS) collectés pour un réseau donné. (II.d) Une dé-viation géographique quantifie la différence observée entre les pays traversés par les différents chemins traceroute vers un réseau donné.

Chaque anomalie se voit assignée un score dans[0,1]. Une anomalie de l’origine BGP est définie par un triplet (IP, AS1, AS2) où IP correspond au bloc d’adresses IP surveillé et, AS₁ et AS₂ sont les ASs annonçant IP. Dans le cas où un bloc d’adresses IP est annoncé par plus de deux ASs, plusieurs anomalies d’origine BGP sont crées. Les déviation de chemins sont calculées grâce à l’indice de Jaccard¹ des ensembles(p_j, p_j+1)oùp_j est le chemin collecté le jourjetp_j+1est le chemin collecté le jourj+ 1. Enfin, les anomalies d’accessibilité au niveau IP/AS et de longueur de chemin sont calculées une seule fois pour tous les chemins traceroute collectés pour un réseau donné. En résumé, un surveillé pendant une durée den jours produit (i) zéro ou plusieurs anomalies de l’origine BGP, (ii)c×(n−1)déviations chemins pour chaque type d’anomalies oùcest le nombre de collecteurs/points de vue (c= 3pour les traceroutes etc= 6pour les chemins d’ASs BGP), et (iii) zéro ou une anomalie d’accessibilité IP/AS et de longueur de chemin.

Evaluation des anomalies de routage

Grâce à l’expertise acquise par l’analyse manuelle d’un grand nombre de cas sus-pects d’attaques par détournement BGP, nous avons développé un procédé novateur d’évaluation des anomalies de routage basé sur l’analyse décisionnelle multicrititères (« Multi-Criteria Decision Analysis (MCDA) »). Cette approche permet d’allier flexibilité et simplicité d’implémentation et de maintenance de notre modèle d’iden-tification des attaques par détournement BGP. En effet, elle constitue une bonne alternative aux arbres de décision du fait qu’elle permet d’assigner à n’importe quel bloc d’adresses IP un score global de suspicion sans devoir recourir à des seuils de décisions intermédiaires souvent définis de façon arbitraire et donc propices aux er-reurs.

1L’indice de Jaccard J de deux ensembles E1 etE2 mesures le chevauchement entre les deux ensembles et est défini commeJ=^|E_|E^1∩E2|

1∪E₂|.

L’analyse décisionnelle multicritères fournit un vaste ensemble de méthodes pour modéliser de très complexes schémas de décision, allant de fonctions basiques de moyenne à des méthodes plus avancées, telles que des intégrales floues [62]. Dans notre système de prise de décision, nous utilisons principalement l’opérateur Weigh-ted Ordered WeighWeigh-ted Average (WOWA) [172] pour agréger le score des anomalies individuelles. La raison pour laquelle nous avons choisi l’opérateur WOWA est le com-promis qu’il offre en la flexibilité et la complexité du modèle de décision construit.

En effet, WOWA combine les avantages de deux types de fonctions d’agrégation : the moyenne pondérée (« weighted mean (WM) ») et la moyenne pondérée contrôlée (« ordered weighted average (OWA) »). Cela permet, lors de la prise de décision, de quantifier, avec un seul opérateur, la fiabilité des sources d’informations (comme la WM le fait) mais aussi de pondérer les scores individuels en fonction de leur ordon-nancement relatif. Le triage et la pondération contrôlée nous permet de mettre en évidence différentes distributions de scores (e.g.,éliminer les observations aberrantes, mettre en évidence les valeurs de milieu d’intervalle, garantir que « au moinsx» ou

« la plupart » des scores sont significativement hauts, etc).

Logiquement, comme toute technique non-supervisée (i.e.,dans l’absence de don-nées permettant de vérifier les résultats), elle nécessite la définition d’un nombre de paramètres – habituellement sur base de l’expertise et des connaissances acquises dans le domaine – afin de modéliser avec précision le schémas de décision et de ga-rantir que les cas les plus pertinents termineront dans le haut du classement, alors que les cas réellement bénins se verront assignés un score global très bas. Dans le cas de WOWA, nous n’avons qu’à définir deux vecteurs de poids, ce qui simplifie déjà considérablement la phase de sélection des paramètres. Cela dit, il est important de préciser que l’objectif premier de notre procédé d’évaluation des anomalies de routage est de réduire, autant que possible, le nombre de cas correspondants vraisemblable-ment à attaques par détournevraisemblable-ment BGP afin de nous permettre de les examiner et de la (in)valider manuellement. Rappelons que l’objectif ultime est de démontrer que (i) le phénomène de « BGP spectrum agility » existe toujours et que (ii) le mode opératoire des spammeurs utilisant cette technique a changé depuis 2006 [148]. En d’autre termes, nous essayons de comprendre si, oui ou non, ce problème est encore d’actualité en 2014. Dans ce contexte, et sans discréditer l’importance de la sélection des paramètres, nous pensons que la définition des paramètres optimaux de notre modèle de décision n’est pas, à ce stade, critique pour l’accomplissement de nos objectifs.

Nous renvoyons le lecteur intéressé à la Section 3.2.2 du Chapitre3 (en anglais) pour en apprendre davantage sur les aspects mathématiques et les différents para-mètres de notre procédé d’évaluation des anomalies de routage basé sur l’analyse décisionnelle multicritères.

6.3.3 Validation des cas suspects de détournements BGP

En raison du manque d’informations permettant de valider (ou d’invalider) catégori-quement les cas suspects identifiés par notre système, il est nécessaire de passer par une étape additionnelle de validation qui consiste à collecter, parfois de façon

ma-6.3. SpamTracer 129 nuelle, des éléments de preuve complémentaires via des sources de données externes et en interrogeant les propriétaires des réseaux concernés. Ainsi, pour (in)valider des cas suspects de détournements BGP, nous utilisons, outre les données de routage collectées au moyen de notre système, les sources de données suivantes :

• La table de routagedes collecteurs BGP RIPE RIS [26] et RouteViews [43].

Elle permet de récupérer la liste des blocs d’adresses IP annoncés, à un moment donné, dans BGP, ainsi que les chemins d’ASs BGP (ou routes BGP) associés.

• LesRegistres du Routage dans l’Internet[20] fournissant des informations sur le propriétaire des adresses IP et numéros d’AS alloués ou assignés. Ils renseignent également des possibles politiques de routage établies entre des réseaux qui sont interconnectés.

• La liste noireDon’t Route Or Peer (DROP)de Spamhaus [34] renseignant des blocs d’adresses IP prétendument entièrement contrôlés par des cybercri-minels, incluant certains ayant apparemment été volés à leur propriétaire.

• Les forums d’opérateurs réseau, comme NANOG [22] ou RIPE WG [27], parfois utilisés par les opérateurs réseaux pour rapporter des incidents d’at-taque par détournement BGP (e.g.,le cas de l’attaque contre Link Telecom [46]).

Nous examinons, grâce aux tables de routage archivées par RIPE et RouteViews, l’historique du routage des blocs d’adresses IP identifiés comme suspects afin de déterminer (i) quand ils ont été annoncé publiquement dans l’Internet, (ii) les ASs d’origine utilisés pour les annoncer, et (iii) les ASs des différents FAIs observés en amont dans les chemins d’ASs.

Nous utilisons également des copies des Registres du Routage dans l’Internet (« Internet Routing Registries, IRRs ») afin de récupérer des informations sur le propriétaire de blocs d’adresses IP et de numéros d’AS impliqués dans des cas sus-pects de d’attaques par détournement BGP. Ces informations nous aident à déter-miner la légitimité des annonces BGP observées. Comme Siganos et al. le suggèrent dans [159], il est également possible d’en apprendre davantage sur d’éventuelles po-litiques de routage entre des ASs lorsque les opérateurs réseau de ces derniers ont pris la peine d’en déclarer.

Nous vérifions également auprès de Spamhaus [34] la réputation des blocs d’adresses IP identifiés par notre système comme suspects.

Enfin, nous parcourons les archives des forums publiques d’opérateurs réseau, comme par exemple les forum NANOG [22] (« North American Network Operators’

Group ») et RIPE Working Groups [27], afin de vérifier si certains des cas suspects que nous avons identifiés ont été discutés.

Nous devrions avoir, à la fin de cette étape, un ensemble de cas d’attaques par détournement BGP malveillant nous permettant de confirmer, ou non, l’existence de ce phénomène.

Σ

Figure 6.2 – Regroupement, grâce àtriage, d’emails de spam envoyés depuis des réseaux ayant été détournés.